黑客利用恶意BadIIS模块劫持IIS服务器投递恶意内容

攻击者通过名为BadIIS的原生IIS模块操纵搜索引擎爬虫流量，污染搜索结果并将合法用户重定向至诈骗或成人网站。基础设施重叠将此活动与ESET的“Group 9”集群相关联，并与思科Talos的“DragonRank”活动具有功能相似性。

2025年3月，Unit 42研究人员发现了一项名为“Operation Rewrite”的高级SEO投毒活动，归因于一个中文威胁行为者CL-UNK-1037。BadIIS直接集成到IIS请求管道中，获得完整的服务器权限。一旦部署在受感染的服务器上，该模块会检查传入的HTTP请求。

来自C2服务器的有效负载是一个重定向至博彩网站的加载页面。当搜索引擎爬虫访问时，BadIIS拦截请求，向其C2服务器查询包含关键字的HTML内容，并将此内容提供给爬虫。因此，受感染的网站会获得高流量搜索词的索引权重——通常涉及赌博、色情或非法流媒体。

Unit 42观察到针对东亚和东南亚的配置，爬虫关键词包括“viet”、“coccoc”和“timkhap”，以及Google和Bing等全球搜索引擎。当真实用户点击被投毒的结果时，BadIIS通过Referer头部识别请求，从C2服务器获取重定向有效负载，并将受害者代理至诈骗内容。这种两阶段攻击最大化了域名声誉，同时向普通用户和防御者隐藏了恶意意图。

武器库：BadIIS之外的变种

除了核心原生模块外，研究人员还发现了三个额外变种：

• ASP.NET页面处理器：轻量级C#脚本，挂钩Page_Load事件以检查引用头部。搜索引擎机器人接收动态生成的SEO内容，而其他访问者被代理至恶意URL。
• 托管.NET IIS模块：功能完整的C#植入程序，劫持404响应并向有效页面注入垃圾链接。它为SEO投毒索引不存在的URL，并为搜索机器人动态修改实时页面。
• 一体化PHP前端控制器：独立的PHP脚本执行引用和用户代理检查。它为Googlebot生成虚假XML站点地图并在爬取时重写内容，同时代理带有诈骗重定向的移动用户流量。

这些变种展示了威胁行为者的适应性，能够快速部署到不同的托管环境，并避免传统原生模块猎手的检测。

语言特征——包括拼音对象名“chongxiede”（重写）和PHP变种中的简体中文注释——指向中文开发者。ESET的Group 9活动共享相同的注册表技术（RegisterModule、OnBeginRequest、OnSendResponse）和重叠的C2域（如008php[.]com、yyphw[.]com、300bt[.]com），证实了共享代码库或协作基础设施。

尽管没有直接域名重叠将CL-UNK-1037与思科Talos DragonRank联系起来，但两个活动都使用SEO投毒和代理逻辑，表明工具开发的演进关系。

缓解措施

安全团队应监控IIS模块注册和计划任务中的异常条目。网络防御者可以利用Palo Alto Networks的Advanced WildFire、Advanced URL Filtering、Advanced DNS Security和Cortex XDR中的高级检测功能，识别和阻止恶意有效负载检索和代理流量。

建议对疑似入侵立即进行Unit 42事件响应，详细入侵指标可通过Unit 42事件响应团队获取。通过理解多阶段诱饵陷阱流程——爬虫投毒后跟随受害者重定向——以及不断扩展的原生和基于脚本的植入工具集，组织可以加强IIS安全性，实施严格的模块完整性检查，并主动狩猎类似的SEO投毒威胁。